Se cree que una nueva ola de ataques contra empresas europeas de la industria de defensa, parte de una campaña de larga duración conocida como Operación Dream Job, es obra de atacantes con vínculos con Corea del Norte.
«Algunas de estas[compañías]están muy involucradas en el campo de los vehículos aéreos no tripulados (UAV), lo que sugiere que esta operación puede estar relacionada con los esfuerzos actuales de Corea del Norte para expandir su programa de drones», dijeron los investigadores de seguridad de ESET Peter Kalnai y Alexis Lappin en un informe compartido con Hacker News.
Se considera que el objetivo final de esta campaña es robar información confidencial y conocimientos de fabricación utilizando familias de malware como ScoringMathTea y MISTPEN. Una empresa eslovaca de ciberseguridad dijo que observó una campaña que comenzó a finales de marzo de 2025.
Las empresas objetivo incluyen una empresa de ingeniería metalúrgica en el sudeste de Europa, un fabricante de piezas de aviones en Europa Central y una empresa de defensa en Europa Central.
ScoringMathTea (también conocido como ForestTiger) fue observado previamente por ESET a principios de 2023 en relación con ataques cibernéticos dirigidos a una empresa de tecnología india y un contratista de defensa polaco, mientras que MISTPEN fue documentado por Google Mandiant en septiembre de 2024 como parte de una intrusión dirigida a empresas de los sectores energético y aeroespacial. ScoringMathTea apareció por primera vez en octubre de 2022.
La Operación Dream Job, expuesta por primera vez por la empresa israelí de ciberseguridad ClearSky en 2020, es una campaña de ataque sostenido lanzada por un prolífico grupo de hackers norcoreano llamado Lazarus Group, que también ha sido rastreado como APT-Q-1, Black Artemis, Diamond Sleet (anteriormente Zinc), Hidden Cobra, TEMP.Hermit y UNC2970. Se cree que el grupo de hackers ha estado activo desde al menos 2009.
En estos ataques, los atacantes utilizan señuelos de ingeniería social similares a entrevistas de infección para acercarse a objetivos potenciales con oportunidades laborales bien remuneradas y engañarlos para que infecten sus sistemas con malware. Esta campaña también muestra una superposición con grupos rastreados como DeathNote, NukeSped, Operation In (interceptación) y Operation North Star.
Los investigadores de ESET dijeron: «El tema principal son ofertas de trabajo lucrativas pero falsas con aspectos de malware. Los objetivos reciben un documento señuelo con una descripción del trabajo y un lector de PDF troyanizado para abrirlo».
Esta cadena de ataque conduce a la ejecución binaria. Este binario es responsable de descargar una DLL maliciosa que elimina ScoringMathTea y un descargador avanzado con nombre en código BinMergeLoader que funciona de manera similar a MISTPEN y utiliza tokens y API de Microsoft Graph para recuperar cargas útiles adicionales.
Se sabe que una secuencia de infección alternativa utiliza un gotero desconocido para entregar dos cargas útiles intermedias, donde la primera carga la última. El resultado final es la implementación de ScoringMathTea, un RAT avanzado que admite aproximadamente 40 comandos para un control completo de las máquinas comprometidas.
«Durante casi tres años, Lazarus ha mantenido un modus operandi consistente, implementando su principal carga útil recomendada, ScoringMathTea, y utilizando técnicas similares para troyanizar aplicaciones de código abierto», dijo ESET. «Esta estrategia predecible pero efectiva proporciona suficiente polimorfismo para evadir la detección de seguridad, incluso si es insuficiente para ocultar la identidad del grupo y ofuscar el proceso de atribución».
Source link
